При появлении сообщения о тревоге в связи с блокированием исходящего трафика на одном из контролируемых узлов оказалось, что локальный хост пытался установить многочисленные соединения с портом получателя 6667 (служба IRC). На этом узле блокировался исходящий трафик для портов службы ICR только потому, что требовалось обеспечить приемлемое качество работы других служб. Я уверен, что существует множество полезных, достойных внимания чат-комнат, но слишком часто пользователи выбирают те чаты, которые не имеют никакого отношения к их работе. И каждое лето, когда на этом узле появлялась новая группа студентов, несколько из них пытались получить доступ к каналам IRC.

Сообщение о тревоге пришло в пятницу вечером в конце февраля. Я сообщил об этом ответственному лицу, и он сказал, что проинформировал администратора о выявленных событиях. Кроме того, я предоставил соответствующие записи из журнала об исходящих пакетах, но не провел глубокого анализа. При более внимательном исследовании я бы обнаружил, что хост пытался установить соединение с IRC-серверами около пяти раз в минуту. Это указывает либо на навязчивое желание пользователя, либо на автоматические действия программы.

В следующий понедельник пришло новое сообщение о тревоге. Я подумал, что это тот же хост, исходящие пакеты которого я уже выявлял. Но, когда я просмотрел журналы, оказалось, что те же действия предпринимаются с четырех других хостов. Особенно настораживал факт попыток соединения с теми же удаленными хостами, многие из которых находились в других странах. У меня возникло ужасное подозрение: были скомпрометированы несколько наших хостов благодаря использованию общего уязвимого места, а теперь взломщик пытается установить соединение со своей базой, чтобы уведомить о триумфе. Другая, более успокаивающая, мысль (по сравнению с компрометацией) заключалась в предположении о заражении этих хостов каким-то червем.

И действительно, когда мой сослуживец (специалист по Windows-системам) проверил один из зараженных хостов, он обнаружил несколько запущенных странных программ (files32 .vxd и pretty park.exe). Таким образом был выявлен червь Pretty Park. С помощью утилиты netstat мой коллега установил, что хост отправлял SYN-пакеты на порт получателя 6667. Очевидно, что червь Pretty Park распространя--ется по электронной почте в виде приложения к сообщению. Одна из его функций заключается в подключении к IRC-сайтам для отправки информации о зараженных хостах, например паролей. Более подробную информацию о Pretty Park можно получить по адресу http://vil.nai.com/vil/wm98500.asp.

Ниже представлен фрагмент отчета о действиях, зарегистрированных с помощью TCPdump. Хосты-получатели меняются, но порт получателя остается постоянным (6667).

09:30:34.470000 infected.com.1218 > ircnet.grolier.net.6667: S

662405:662405(0) Bwin 8192 (DF)

09:30:37.370000 infected.com.1218 > ircnet.grolier.net.6667: S 662405:662405(0) Bwin 8192 (DF)

09:30:43.370000 infected.com.1218 > ircnet.grolier.net.6667: S 662405:662405(0) Bwin 8192 (DF)

09:30:55.370000 infected.com.1218 > ircnet.grolier.net.6667: S 662405:662405(0) Bwin 8192 (DF)

09:31:04.050000 infected.com.1220 > ire.ncal.verio.net.6667: S 691990:691990(0) Bwin 8192 (DF)

09:31:06.970000 infected.com.1220 > ire.ncal.verio.net.6667: S 691990:691990(0) Bwin 8192 (DF)

09:31:12.970000 infected.com.1220 > ire.ncal.verio.net.6667: S 691990:691990(0) Bwin 8192 (DF)

09:31:24.970000 infected.com.1220 > ire.ncal.verio.net.6667: S 691990:691990(0) Bwin 8192 (DF)

09:32:34.130000 infected.com.1222 > mist.cifnet.com.6667: F 722101:722101(0) ack 1426589426 win 8680 (DF)

09:32:43.070000 infected.com.1224 > krameria.skybel.net.6667: S 782083:782083(0) Bwin 8192 (DF)

09:32:55.070000 infected.com.1224 > krameria.skybel.net.6667: S 4> 782083:782083(0) Bwin 8192 (DF)

09:33:04.170000 infected.com.1226 > zafira.eurecom.fr.6667: S 812112:812112(0) Bwin 8192 (DF)

Из этого примера можно сделать вывод, что наилучший результат дает одновременное применение средств защиты отдельных хостов и сети.

На хосте проникновению червя должны препятствовать антивирусные программы, но так происходит далеко не на каждом хосте. В данном случае проблема была обнаружена за счет сетевых средств безопасности благодаря тому, что регистрировался весь заблокированный трафик.

Отправка tcp-сегмента на порт 53 | Обнаружение нарушений безопасности в сетях | Ringzero


Обнаружение нарушений безопасности в сетях



Новости за месяц

  • Июль
    2021
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс